Máy ảo của tôi đang bị tấn công hay đây là lỗi tự động hóa?

georgiosd

13:22, 15/02/2023

Tôi nhận thấy rằng các máy ảo Windows Server 2019 của chúng tôi, được lưu trữ trên GCP thường đạt 100% mức sử dụng CPU, điều này thật kỳ lạ và tôi đã bắt đầu điều tra. Có vẻ như có một dãy các lệnh PowerShell đang chạy lặp đi lặp lại đang ngốn hết CPU.

Các lệnh này dường như quét các đối tượng người dùng có tên nhất định để nó có thể là bộ bảo vệ GCP hoặc một loại sâu/vi rút nào đó. tôi đã theo dõi những hướng dẫn này để ghi lại mọi thứ về PowerShell nhưng nó không làm sáng tỏ nhiều vì không có tệp tập lệnh, các lệnh được truyền dưới dạng đối số cho PowerShell và chúng luôn được chạy bởi HỆ THỐNG người dùng.

Các lệnh ví dụ:

CommandInvocation(Xuất-ModuleMember): "Xuất-ModuleMember"
Tham sốBinding(Export-ModuleMember): name="Function"; value="Unregister-ClusteredScheduledTask"
Tham sốBinding(Export-ModuleMember): name="Alias"; giá trị = "*"


Bối cảnh:
        Mức độ nghiêm trọng = Thông tin
        Tên máy chủ = ConsoleHost
        Phiên bản máy chủ = 5.1.17763.2183
        ID máy chủ = f786eeed-384f-4544-9869-0a9e6d414274
        Ứng dụng máy chủ = powershell Get-ScheduledTask | Where-Object { ($_.Principal.userid -like "*administrator*") -and (($_.Principal.LogonType -eq 'Password') -or ($_.Principal.LogonType -eq 'InteractiveOrPassword') ) } | Select-Object TaskName, @{n='Execute'; e={[System.IO.Path]::GetFileName([System.Environment]::ExpandEnvironmentVariables($_.Actions.Execute).Trim(""""))}}, @{n='Arguments'; e={[System.Environment]::ExpandEnvironmentVariables($_.Actions.Arguments)}}

CommandInvocation(Out-Default): "Out-Default"


Bối cảnh:
        Mức độ nghiêm trọng = Thông tin
        Tên máy chủ = ConsoleHost
        Phiên bản máy chủ = 5.1.17763.2183
        ID máy chủ = aa27bff6-1e9f-482f-9e6f-bfb8b0a0648a
        Ứng dụng máy chủ = powershell Get-WmiObject Win32_Service | Đối tượng ở đâu {$_.startname -Like '*INSPECTION*'}

Tôi đã thử quét máy ảo bằng Trend Micro Housecall và MBAM nhưng cả hai chương trình đều không tìm thấy mối đe dọa nào, ngoại trừ các yêu cầu lặp lại đối với cổng 3389, có lẽ là các nỗ lực vũ phu.

Đây có phải là một cuộc tấn công? Nếu vậy, làm thế nào để tôi vô hiệu hóa nó?

0 + 0

bức tường lửa

máy ảo

google-cloud-platform

windows-server-2019

Điểm:0

Server

user3192295

14:26, 15/02/2023

trông giống như nội dung nhật ký hệ thống giống như một cái gì đó không hoạt động như bình thường. Có lẽ điều này sẽ giúp trên con đường của bạn ... https://docs.microsoft.com/en-us/powershell/module/scheduledtasks/unregister-clusteredscheduledtask?view=windowsserver2019-ps

0 + 0

georgiosd

15:51, 17/02/2023

Điều gì khiến bạn lại nói thế? Một ví dụ khác mà tôi thấy là quét các tên người dùng cụ thể. Vì vậy, đó là một sự bảo vệ của một hành vi phạm tội.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Is my VM under attack or is this an automation gone wrong?

TH: VM ของฉันถูกโจมตีหรือนี่เป็นการทำงานอัตโนมัติที่ผิดพลาดหรือไม่

RO: Este VM-ul meu atacat sau este o automatizare care a mers prost?

RU: Моя виртуальная машина атакована или это автоматизация пошла не так?

VI: Máy ảo của tôi đang bị tấn công hay đây là lỗi tự động hóa?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.